Journalisation des systèmes d'IA — Exigences légales sous l'EU AI Act
L'EU AI Act établit des exigences précises de journalisation pour les systèmes d'IA à haut risque opérant dans l'Union européenne. Ces obligations s'appliquent dès la mise sur le marché ou la mise en service d'un système d'IA et couvrent l'ensemble du cycle de vie opérationnel du système.
Champ d'application des exigences de journalisation
Les exigences de journalisation de l'EU AI Act s'appliquent aux systèmes d'IA classés comme à haut risque en vertu de l'Article 6 et de l'Annexe III du règlement. Cette catégorie comprend les systèmes utilisés dans des domaines critiques tels que les infrastructures critiques, l'éducation, l'emploi, les services essentiels, l'application de la loi, la gestion des migrations et l'administration de la justice. Pour ces systèmes, l'Article 12 impose la mise en place de capacités de journalisation automatique permettant de reconstituer les décisions prises par le système sur une période déterminée.
Durées de conservation et exigences d'intégrité
L'Article 12 précise que les journaux automatiques doivent être conservés pendant des durées adaptées à la nature du système d'IA concerné, avec un minimum de six mois pour les systèmes relevant de l'Article 6, paragraphe 2. L'Article 19 étend cette exigence à la documentation technique dans son ensemble, imposant une conservation de dix ans. Cruciale pour la conformité : l'intégrité des journaux doit être garantie, ce qui exige des mécanismes cryptographiques empêchant toute modification ou suppression non détectée. Les journaux doivent être produits sur demande des autorités nationales compétentes ou des organes de surveillance du marché.
Journalisation des données d'entraînement synthétiques
La journalisation ne se limite pas aux décisions opérationnelles du système d'IA : elle s'étend aux données d'entraînement utilisées pour construire le système. L'Article 10 impose que les jeux de données soient documentés selon des pratiques de gestion des données définies. CertifiedData couvre ce périmètre en certifiant chaque jeu de données synthétique utilisé en entraînement. Le certificat enregistre l'algorithme de génération, le nombre de lignes et de colonnes, l'empreinte SHA-256 du jeu de données et la signature de l'autorité émettrice, fournissant ainsi la documentation de provenance des données exigée par le règlement.
Infrastructure de vérification publique
Un élément souvent négligé des exigences de journalisation est la capacité de vérification indépendante. La conformité à l'EU AI Act ne peut reposer sur la simple affirmation de l'organisation qu'elle a bien conservé ses journaux. CertifiedData publie tous les certificats dans un registre de transparence public accessible sans authentification. Toute partie prenante — régulateur, auditeur, client, partenaire — peut vérifier indépendamment l'authenticité d'un certificat via le point d'accès public de vérification. Cette transparence structurelle est la base d'une conformité durable.